近我為了與惡意軟件作斗爭，已經(jīng)弄得手忙腳亂了。最近一次是發(fā)生在上周五，我的一個朋友打電話告訴我，說他的電腦運行起來有些異常。簡單詢問了幾個問題之后，我基本上確定他的電腦已經(jīng)被什么東西感染了。

　　一般情況下，這并不是什么大事。作為一個技術(shù)支持人員，我總是為朋友和客戶準(zhǔn)備一臺備用的筆記本，以便在我維護他們自己的電腦時，可以讓他們繼續(xù)自己的工作。因此我的朋友一旦有電腦問題，都會先找到我。但是這次，我的備用筆記本已經(jīng)借出去了，聽到這個消息，我感覺他幾乎絕望了。

　　這里要解釋一下，我的這個朋友的工作是證券交易員，他需要在周日傍晚用電腦連接到遠(yuǎn)東股票市場，進行交易操作。在聽完了他電話中的一大堆訴苦的內(nèi)容后，我不得不重復(fù)了我很久前給他的建議：你應(yīng)該再為自己準(zhǔn)備一臺備用電腦，以便在今天這種情況下不必抓狂。

　　探究問題

　　一般情況下，我會考慮立即采用一鍵恢復(fù)來幫助他解決問題，但是這次我沒有這么做，一方面是因為我在最初給他安裝系統(tǒng)的時候就忘記做一鍵恢復(fù)的功能了，另一方面是我時間剛好比較充裕，很好奇到底是什么惡意軟件導(dǎo)致他的系統(tǒng)出現(xiàn)問題的，因為我的電腦日后也可能會出現(xiàn)類似的問題。我知道他的電腦總是會保持更新，因此被惡意軟件感染的事情實際上很少會發(fā)生。

　　所幸的是，我不用擔(dān)心保存他電腦中的工作數(shù)據(jù)，因為他有在移動硬盤上備份工作數(shù)據(jù)的好習(xí)慣。于是我盡我所能開始了調(diào)查工作。這臺電腦運行起來確實有些怪異。我首先查看的是Microsoft更新列表。

　　我用資源管理器查看了 C:Windows下的文件，所有的補丁都在這里。仔細(xì)檢查了一下，我發(fā)現(xiàn)$NtUninstallKB956803$ 文件夾有問題，補丁沒有被安裝。這個補丁文件夾指向了 MS08-066補丁。 我很奇怪在Windows自動更新過程中為什么沒有安裝這個補丁。這是不是安全防護措施中的某個漏洞導(dǎo)致的呢?上面那個截圖顯示它應(yīng)該是被安裝了的。

　　惡意軟件名為跳跳虎，太過分了

　　在我研究這臺問題電腦之前，我曾經(jīng)在網(wǎng)上進行過相關(guān)問題的搜索。其中我看到了一篇 iDefense 的安全專家Michael Ligh 所寫的文章為什么我喜歡Tigger/Syzor 。哇，這可真是一個可惡的木馬。據(jù)Ligh在文章中的介紹， Tigger/Syzor是目前最成熟的木馬之一：

　　“這個木馬借用了Windows系統(tǒng)的權(quán)限升級漏洞 (MS08-066)，這個漏洞在 Milw0rm上有所介紹。它會通過特殊的手段，比如通過守護進程向電腦用戶發(fā)出格式錯誤信息，向命名管道發(fā)送特殊字符，以及使用程序自身額API等方式來禁用Windows Defender，Windows Firewall， Outpost， Avira, Kaspersky, AVG,以及 CA 系列產(chǎn)品。”

　　剛才我們也注意到，這臺問題電腦在安裝升級補丁時遇到的問題就是與MS08-066相關(guān)。這已經(jīng)給了我足夠的提示。Ligh在文章中還表示：

　　“木馬會安裝一個在安全模式下可以運行的rootkit。這個rootkit會禁用系統(tǒng)內(nèi)核的debuggers, hooks FAT 和NTFS文件系統(tǒng)驅(qū)動，另外還會防止其它進程訪問內(nèi)核驅(qū)動內(nèi)容，以便阻止諸如GMER和IceSword這樣的系統(tǒng)檢查工具在內(nèi)存中覆蓋.sys文件。

　　Tigger當(dāng)然還會將代碼注入用戶模式進程。其組件可以進行屏幕截圖，hook COM 組件，以便竊取瀏覽器中的信息，探知密碼(如受密碼保護的存儲設(shè)備，網(wǎng)絡(luò)和撥號密碼，以及聊天軟件，電子郵箱，遠(yuǎn)程接入程序的密碼等)。另外它還能盜取web cookies，盜取證書，并將網(wǎng)卡設(shè)置為promiscuous 模式以便偵聽 FTP和 POP3密碼。”

　　以上這些功能使得 Tigger/Syzor 成為了一款讓人印象深刻的木馬。但這還不是全部，據(jù) ThreatExpert.com 的研究顯示，這款木馬還包含了鍵盤記錄，收集系統(tǒng)信息，開啟系統(tǒng)后門，甚至與命令和控制服務(wù)器取得聯(lián)系的功能。通過Malware Domain List ，我們可以知道這個木馬所使用的聯(lián)絡(luò)域名是什么。

　　Tigger/Syzor 也試圖做好事

　　具有諷刺意味的是，Tigger/Syzor還試圖幫助用戶刪除電腦中已存在的惡意軟件(多達20種不同的惡意軟件)。專家們認(rèn)為，這么做的目的是讓系統(tǒng)運行起來盡可能的正常。

　　Tigger/Syzor鎖定股票市場

　　在研究這個相當(dāng)聰明的木馬時，我讀到了華盛頓郵報上一篇由Brian Krebs撰寫的文章The Tigger Trojan: Icky, Sticky Stuff ，立刻注意到了一點其它文章沒有提到的問題。出于某種目的， Tigger/Syzor木馬尤其偏愛那些證券公司的客戶或者參與股票和期權(quán)交易的交易人員。Krebs提供一份簡短的列表：

　　“在Tigger非常短小的感染目標(biāo)名單中，包括了E-Trade, ING Direct ShareBuilder, Vanguard, Options XPress, TD Ameritrade 以及 Scottrade等機構(gòu)。”

　　我的好奇心大起，于是打電話詢問我的朋友，是否參與了以上某家機構(gòu)的股票交易。答案是肯定的，作為交易員，他日常的工作就是與上述多家機構(gòu)進行交易。因此我希望那些同樣與上述機構(gòu)有聯(lián)系的讀者趕緊檢查一下自己的電腦。

　　相對未知的木馬

　　Krebs 在文中提到， Ligh最初是在2008年11月發(fā)現(xiàn)Tigger/Syzor木馬的。四個月后，我認(rèn)為網(wǎng)上應(yīng)該會有更多的有關(guān)這個木馬的信息，但是事實相反。這有可能是因為反惡意軟件行業(yè)對于這個木馬的曝光程度不足有關(guān)。這也導(dǎo)致了我之前對這個木馬不慎了解。我甚至覺得Tigger/Syzor 木馬正在悄悄的展開自己的股市業(yè)務(wù)。